Stagelopen en afstuderen bij Securify.

Framework voor onderzoek risico’s browserplugins

Inleiding:

Er zijn vandaag de dag 1001 handige browser-plugins beschikbaar. Veelal voegen deze plugins content (HTML/Javascript) toe aan bezochte webpagina’s. Deze geïnjecteerde code kan echter nieuwe kwetsbaarheden introduceren binnen de security context van bezochte pagina’s. Per ongeluk (beveiligingslek) of doelbewust (malafide plugins). Denk bijvoorbeeld aan DOM Based Cross-Site Scripting lekken of het doelbewust wegsluizen van persoonlijke informatie.

Opdrachtomschrijving:

Ontwikkel een testframework waarmee geautomatiseerd in kaart wordt gebracht welke wijzigingen plugins onder water zoal maken aan bezochte pagina’s en in hoeverre deze de beveiliging van deze sites ondermijnen.

Maak dit framework geschikt om automatisch plugins te installeren, analyseren en deinstalleren, zodat een grote set aan plugins kan worden onderzocht. Zo kan een databank worden aangelegd van de geïnjecteerde code-elementen (signatures) die vervolgens kan worden geanalyseerd op de aanwezigheid van kwetsbare/malafide fragmenten.

Onderzoeksvraag:

Op welke manier kan een framework ontwikkeld worden waarmee de wijzigingen die plugins uitvoeren in browsers in kaart kunnen worden gebracht?

Eisen/wensen (werkwijze):

1.   Voer een literatuurstudie en interviews uit om een idee te krijgen van de bestaande functionaliteit en haar beperkingen.
2.   Bouw een oplossing waarin je (deels geautomatiseerd) een plugin in een browser installeert, een webpagina bezoekt op een server en de kenmerken van deze plugins opslaat in signatures.
3.   Ontwikkel een prototype om deze plugin signatures op te slaan in een database?
4.   (optioneel): Vind kwetsbare/malafide patronen die door verschillende plugins gebruikt worden.
5.   (optioneel): Automatiseer en optimaliseer de beoordeling van deze plugins om het aantal false positives zo laag mogelijk te krijgen.

Keywords: Browser plugins, Malware, Web security, Automated Testing

Latest News & Research

Work with us →